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群 智 感知 网 络 个 性 化 位 置 隐私 保护 算法 ， 
胡 敏 ， 张 H REE 


(重庆 邮电 大 学 通信 与 信息 工程 学 院 , 重庆 400065) 


摘 要 : 群 智 感知 网 络 中 现 有 隐私 保护 算法 对 所 有 位 置 采用 相同 的 隐私 保护 策略 ， 导 致 位 置 隐私 或 保护 过 度 或 保护 不 
足 ， 且 获得 的 感知 数据 精度 较 低 。 针 对 这 一 问题 ， 提 出 了 一 种 满足 用 户 个 性 化 隐私 安全 需求 的 位 置 隐私 保护 算法 。 首 
先 ， 根 据 用 户 的 历史 移动 轨迹 ， 挖 据 用 户 对 不 同位 置 的 访问 时 长 、 访 问 频率 以 及 访问 的 规律 性 来 预测 位 置 对 用 户 的 社 
会 属性 ; 然后 ， 结 合 位 置 的 自然 属性 ， 预 测 用 户 一 位 置 的 敏感 等 级 ; 最 后 ， 结 合用 户 在 不 同 的 位 置 有 不 同 的 隐私 安全 
需求 的 特点 ， 设 置 动态 的 隐私 判定 方案 ， 在 每 个 位 置 选 敏感 度 低 的 用 户 参 与 感知 任务 ， 以 确保 用 户 在 隐私 安全 的 前 提 
F, 贡献 时 空 相关 性 精确 高 的 感知 数据 。 仿 真 结果 表明 , 该 算法 在 提高 隐私 保护 水 平 的 同时 还 提高 了 感知 数据 的 精度 。 
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Personalized location privacy protection algorithm in crowd sensing networks 
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Abstract: The existing privacy protection strategies in crowd sensing networks used the same privacy policies for all locations 


which overprotected led to the problems that some locations, others were not adequately protected and the sensing data was less 


accurate. In order to solve this problem, this paper proposed a location privacy protection algorithm to meet the users’ 


personalized privacy and security requirements. First, it mined users’ access duration, frequency and regularity at different 
locations according to the user's historical movement trajectory, which used to predict the social attributes of the locations to the 
users. Then, it combined the location’s social attributes and natural attributes to predict user-location sensitivity levels. Finally, 
considering the different privacy security requirements of users in different locations, it set a dynamic privacy decision scheme. 
Users with less sensitivity at each location were selected to participate in sensing tasks to ensure that users, in the safe privacy 
context, could contribute the accurate data with a higher level of spatiotemporal correlation. The simulation results show that 
the algorithm can improve the privacy protection level and the accuracy of the sensing data. 
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了 用 户 想 要 保护 的 其 他 敏感 信息 ， 如 家 庭 住 址 、 生 活 习惯 、 健 
康 状况 和 社会 关系 等 ， 从 而 造成 用 户 隐 私信 息 的 泄露 申 。 群 知 
群 智 感知 是 指 通过 人 们 已 有 的 移动 设备 形成 交互 式 的 、 参 “感知 网 络 在 为 人 们 带 来 巨大 便利 的 同时 也 带 来 了 前 所 未 有 的 隐 
与 式 的 感知 网 络 ， 并 将 感知 任务 发 布 给 网 络 中 的 个 体 或 群体 来 私 安 全 隐患 ， 如 果 用 户 的 隐私 不 能 得 到 很 好 的 保护 ， 用 户 就 很 
完成 ， 从 而 帮助 专业 人 员 或 公众 收集 数据 、 分 析 信 息 和 共享 知 。 可 能 不 再 愿意 共享 他 们 的 感知 数据 外 。 因 此 研究 群 智 感 知 网 络 
识 由 。 利 用 现 有 的 感知 设备 和 已 有 的 通信 网 络 构建 群 智 感知 网 。 中 的 隐私 保护 ， 尤 其 是 研究 参与 时 空位 置 相关 的 感知 任务 的 用 
络 ， 无 须 额外 部 署 和 维护 感知 设备 以 及 传输 网 络 ， 因 此 ， 群 智 户 的 位 置 隐私 保护 ， 具 有 重要 的 意义 。 
感知 网 络 能 以 低 成 本 实现 大 规模 和 细 粒 度 的 感知 ， 广 泛 应 用 于 
智能 交通 、 社 交 网络 、 环 境 监 测 和 健康 监测 等 领域 外。 1 相关 工作 
由 于 大 部 分 的 感知 数据 都 需要 含有 相关 的 时 空位 置 等 信息 至 今 已 有 不 少 文献 研究 了 群 智 感知 网 络 中 位 置 隐私 的 保护 
才 有 价值 ， 而 这 些 信息 既 直 接 包 含 了 用 户 的 隐私 信息 ， 又 隐 含 ”方法 , 位 置 匿名 就 是 常用 的 方法 。Mehta 等 人 喇 利 用 虚假 位 置 或 
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真实 位 置 周围 相关 


位 置 数据 。 该 方法 
数据 的 服务 质量 ， 降 


来 蔡 代 真实 位 置 ， 向 服务 器 提交 
隐私 ， 但 是 严重 影响 了 
匿名 方法 来 


感知 


ChinaXiv 合 作 期 十 


HO g, 等: 群 智 感知 网 络 个 性 化 位 置 隐私 保护 算法 


了 解决 这 个 问题 ， 本 文 提出 了 一 种 满足 不 同 用 户 个 性 化 隐私 安 
全 需求 的 位 置 隐私 保护 算法 (location privacy protection 
algorithm for personalized security requirements of different users, 
LPPA-PSRDU) ， 根 据 用 户 的 历史 轨迹 信息 ， 通 过 实时 的 敏感 
度 计算 ， 为 感知 用 户 提 供 一 种 动态 的 隐私 判定 方案 ， 在 每 个 位 
选 敏感 度 低 的 用 户 参 与 感知 ， 同 时 提供 时 空位 置 精确 的 感知 
数据 ， 在 保护 参与 者 位 置 隐私 的 同时 ， 提 高 感知 数据 的 服务 质 


2 “个 性 化 的 隐私 保护 算法 


本 文 提出 的 针对 用 户 个 性 化 隐私 安全 需求 的 隐私 保护 算法 ， 


主要 考虑 到 不 同 的 参与 者 对 同一 位 置 的 敏感 程度 不 同 ， 通 过 用 
户 的 历史 轨迹 记录 实时 地 评判 出 用 户 对 该 位 置 的 敏感 等 级 ， 尽 


量 让 敏感 度 低 的 用 户 来 完成 该 位 置 的 数据 采集 ， 以 达到 满足 所 


保护 位 置 隐私 ， 即 用 panty) 
真实 位 置 , 在 这 K 个 用 其 他 K- 
1 个 用 户 的 位 置 不 可 分 辨 。 但 是 这 种 方法 引入 了 严重 的 空间 失 
真 ， 不 满足 对 感知 数据 效用 的 HT LB 
性 的 原则 ， 使 满足 K- 匿 名 的 每 个 等 价 类 中 性 至 少 有 7/ Ee 
个 值 。/- 多 样 性 避免 了 一 个 等 价 类 中 敏感 属 一 的 情况 ， 
使 隐私 泄露 风险 不 超过 14， 但 容易 受到 相似 性 
文献 [10] 采 用 差分 隐私 的 保护 方法 ， 时 中 添加 随机 品 
声 ， 保 证 攻击 者 能 居 几 乎 与 它们 没有 这 个 人 记录 
的 数据 集中 能 获取 的 相差 无 几 ， 从 而 达到 保护 隐私 的 目的 。 但 
于 它们 使 用 的 立 普 拉 斯 噪声 是 无 界 的 ， 这 使 得 发 布 无 意 
义 ， 造 成 用 户 隐私 信息 的 泄露 ， 妨 碍 数 提 Jo TÍR 
决 这 个 问题 ， 文 献 [11] 提 出 了 有 有 界 拉 普 拉 噪 声 生 成 算 ”数据 
法 的 差异 化 数据 发 布 算法 。 这 种 噪 il [到 真实 
位 置 数 据 中 的 噪声 在 合适 范围 内 被 采样 以 实现 差分 隐私 。 该 方 
法 大 大 减少 了 隐私 的 损失 量 ， 并 提高 了 数据 发 布 社会 属性 两 个 方面 。 
另 一 种 常用 保护 方法 是 通过 加 密 技 术 保 护 用 户 定义 1 自然 属 


的 位 置 隐私 。Wei 等 人 0 提出 了 
法 , 结合 假名 技术 实现 了 用 户 身份 与 数据 存 


9 属性 基 加 密 算 
隔离 。 文 献 [13] 


提出 一 种 基于 同 态 加 密 技 术 的 安全 
不 会 被 发 布 给 任何 人 ， 但 是 系统 


个 感知 任务 位 


信息 


仍然 可 以 将 任务 分 配给 位 于 每 


用 户 个 性 化 的 隐私 安全 需求 的 目的 ， 同 时 提供 高 精度 的 感知 


为 了 合理 地 评判 出 某 个 感知 用 户 对 某 个 位 置 的 敏感 程度 ， 
考虑 该 位 置 所 具有 的 自然 属性 和 该 位 置 对 于 用 户 来 说 所 具有 的 


性 。 自 然 属性 指 某 一 位 置 对 于 所 有 公共 用 
户 所 具有 的 统一 功能 状态 。 例 如 ， 医 院 这 个 位 置 对 所 有 病人 来 
说 都 有 相同 的 固有 自然 属性 ， 不 会 因 人 而 异 。 

定义 2 社会 属性 。 社 会 属性 指 某 一 位 置 对 于 某 个 用 户 来 
说 具有 的 特定 属性 ， 会 因 人 的 社会 关系 不 同 而 不 同 。 例 如 某 位 


JP WY 


置 隐 私 ,但 是 | 


于 群 智 感知 网 络 中 的 节点 


密 时 的 密 钥 更 六 


文献 [14] 提 上 


开销 过 大 ， 密 钥 分 发 
的 静态 隐私 保护 机 制 采 / 


藏 的 技术 ， 假 定 
满足 平均 隐私 阔 
隐私 阔 值 O 的 最 大 静态 Cmax static) 算法 ， 均 使 用 
隐私 保护 参数 。 这 种 使 用 
用 户 提供 了 一 些 保护 ， 却 是 以 
虑 数据 的 效用 。 为 了 解决 这 个 问题 , SCRE S HEH 
的 位 置 隐私 保护 方法 (Adaptive) ,在 静态 隐私 保护 策略 的 
的 效用 ,综合 考虑 效 | 


上 ,增加 了 感知 应 用 
但 是 这 种 方法 依然 忽略 了 不 同 用 


求 问题 。 


不 同 的 用 户 ， 其 所 关 沪 
是 同一 个 感知 任务 ， 同 


所 需要 的 隐私 保护 级 另 
(HO 的 平均 静态 (avg static) 算法 和 满足 最 大 


有 强 移动 性 ， 加 / 解 


j 位 置 混淆 和 数据 隐 


此 ， 


固定 参数 的 隐私 保护 


地 点 的 个 性 化 隐私 需 


私 安全 需求 也 不 一 样 。 


保护 ， 势 必 会 导致 用 


固定 的 
技术 虽然 为 
的 ， 没 有 考 


适应 


基础 


与 隐私 之 间 的 权衡 。 


是 甲 的 家 庭 所 在 地 ， 是 乙 的 朋友 的 家 ， 是 两 偶尔 路 过 的 陌生 
方 ， 该 位 置 对 甲乙 两 具有 不 同 的 社会 属性 。 

2.1 自然 属性 
由 于 现在 的 各 种 感知 设备 基本 都 具有 GPS 定位 功能 , 所 以 
可 根据 GPS 定位 确定 某 个 位 置 的 自然 属性 ， 用 A 来 表示 位 置 
1 对 用 户 i 的 自然 属性 。 
有 不 同 自然 属性 的 地 点 ， 包 含 着 人 们 不 同 的 隐私 信息 ， 
用 户 有 不 同 的 敏感 程度 。 例 如 ， 医 院 、 银 行 、 公 园 、 超 市 、 野 
外 、 河 流 等 这 些 地 点 的 自然 属性 不 同 ， 医 院 对 于 病人 来 说 ， 敏 
感 程度 非常 高 ,病人 通常 不 愿意 泄露 自己 的 健康 状况 ; 类 似 的 ， 
人 们 去 银行 办 各 种 业务 的 相关 隐私 信息 也 是 需要 高 度 保 密 的 ; 
人 们 对 超市 、 公 园 、 野 外 或 河流 等 这 些 地 方 的 敏感 度 较 低 ， 因 


= 


的 隐私 信息 内 容 可 能 不 一 样 ， 即 使 
RAJKA 
的 隐私 
的 隐私 保护 不 足 ， 造 成 隐私 
泄露 ， 而 另 一 些 位 置 的 隐私 保护 过 度 ， 造 成 感知 资源 的 浪费 。 


此 外 ， 对 时 空 相关 性 要 求 较 高 的 感知 场景 往 


主 需 要 参与 者 提交 


为 这 些 地 方 包含 会 损害 用 户 个 人 利益 的 隐私 信息 较 少 。 因 此 ， 
可 以 根据 GPS 定位 信息 初步 判定 某 个 位 置 的 自然 属性 , 再 根据 
自然 属性 的 现实 意义 给 予 一 个 自然 属性 敏感 值 Aj 。 

2.2 ”社会 属性 

2.2.1 访问 时 长 

通过 对 用 户 的 移动 轨迹 进行 分 析 ， 文 献 [16] 发 现 每 个 用 户 
每 天 的 平均 活动 时 间 呈 明显 的 究 律 分 布 。 根 据 用 户 在 一 段 时 间 
内 的 历史 轨迹 记录 ， 统 计 出 用 户 对 每 个 位 置 的 平均 访问 时 长 ， 


精度 较 高 的 感知 数 和 隐私 保护 方法 为 了 保护 用 


} 
PUB AL,» tte BPE AE ANE AY) Ja BH 及 务 质量 。 为 


可 以 反映 出 用 户 对 该 位 置 的 依赖 程度 。 若 位 置 A 是 用 户 甲 的 家 
庭 所 在 地 ， 那 么 用 户 甲 除了 外 出 旅游 或 出 差 等 特殊 情况 外 ， 他 
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会 经 常 出 现在 该 位 置 。 若 位 置 A 对 用 户 乙 没有 特殊 的 社会 意义 ， 
他 只 是 偶尔 路 过 这 里 ， 在 一 段 时 间 内 ， 他 对 该 位 置 的 访问 时 长 
会 很 得。 由 此 可 见 ， 访 问 时 长 这 一 衡量 指标 可 以 在 一 定 程度 上 


反映 出 某 位 置 对 某 用 户 的 社会 意义 ， 从 而 判定 该 用 户 对 该 位 置 
的 敏感 程度 。 
定义 用 户 i 对 位 置 ; 的 访问 时 长 Dy 
* end 
gone (1) 
tt 
(pall Eaa 
TO V0 不 在 该 区 域 


其 中 :为 访问 记录 的 开始 时 间 ; 为 访问 记录 的 结束 时 间 。 
考虑 到 用 户 是 不 断 移动 的 ， 并 且 这 些 位 置 的 社会 意义 也 有 可 能 
发 生 改 变 《〈 比 如 用 户 搬家 等 ) ， 因 此 ， 随 着 用 户 移动 轨迹 的 更 
新 ， 用 户 的 访问 时 长 也 可 以 实时 动态 地 更 新 。 
2.2.2 访问 频率 
ARP ite Ch, b) 这 段 时 间 内 的 移动 轨迹 为 厂 = 
(Chloenljonh) ，1< j<n，ljeL，1; 表 示 用 户 访问 过 的 划 
中 一 个 位 置 。 文 献 [17] 指 出 ， 根 据 访问 频率 在 地 点 中 的 排名 ， 
可 推导 出 位 置 的 语义 信息 。 若 用 户 对 某 位置 的 访问 频率 较 高 ， 
可 以 从 一 个 方面 反映 出 该 位 置 对 用 户 的 重要 性 较 高 ， 从 而 判断 
该 位 置 可 能 包含 的 用 户 隐私 信息 也 较 多 。 因 此 ， 本 文 将 访问 频 
率 也 作为 判断 用 户 敏 感 程度 的 一 个 衡量 指标 。 随 着 用 户 移动 轨 
迹 的 不 断 变 化 ， 对 每 个 位 置 的 访问 频率 也 可 以 动态 更 新 ， 达 到 
实时 预测 用 户 对 每 个 位 置 的 敏感 度 的 目的 。 

访问 频率 是 指 在 一 段 时 间 内 ， 用 户 对 某 个 位 置 的 访问 频次 
5 整个 移动 轨迹 中 对 所 有 位 置 的 总 访问 频次 的 比值 。 定 义 用 户 
zi 对 位 置 思 的 访问 频率 PGL) 为 


4 


NG) 
ELNO (3) 
其 中 : NO) AMF i BALE IK, NO 为 用 户 i 的 整个 
移动 轨迹 中 对 所 有 位 置 的 总 访问 频次 。 

2.2.3 访问 的 规律 性 

为 了 更 准确 地 预测 用 户 的 敏感 度 ， 还 要 考虑 另 一 个 衡量 指 
标 一 一 访问 的 规律 性 。 访 问 的 规律 性 反映 用 户 对 某 位 置 的 访问 
是 否 符合 常态 ， 从 而 排除 偶然 性 的 因素 所 导致 的 对 用 户 敏 感性 


PUL) = 


(4) 
SEH iMh DIRA 8 SH TT AERLE h E; 
ni 为 用 户 i 对 位 置 j 的 分 离 次 数 。 


0 
soh 
本 文采 用 高 斯 相似 度 函 数 对 AVG, 进行 归 一 化 ， 得 到 用 户 
i 与 位 置 j 的 关系 强度 : 


Lite 


否则 


(5) 


Cue wm (6) 


其 中 : o 为 分 离 周期 的 缩放 参数 。 
为 了 能 最 终 反 映 出 用 户 对 某 个 位 置 访问 的 规律 性 ， 测 量 分 
离 周期 的 方差 , 使 用 不 规则 度量 Ly 反映 波动 的 大 小 (规律 性 ) : 


> A-C 
L = 一 一 一 一 一 


Nj 


(7) 


其 中 : X 为 分 离 周期 的 长 度 。 
2.2.4 敏感 等 级 函数 

为 了 满足 所 有 用 户 个 性 化 的 隐私 安全 需求 ， 建 立 实时 的 、 
动态 的 隐私 分 级 模型 ， 同 时 考虑 位 置 的 自然 属性 、 用 户 对 某 位 
的 访问 时 长 、 访 问 频率 、 访 问 的 规律 性 这 些 衡 量 指标 ， 定 义 
了 一 个 敏感 等 级 函数 ， 用 它 来 判定 用 户 对 他 访问 的 某 个 位 置 的 
敏感 程度 。 对 于 某 一 感知 任务 ， 让 对 该 位 置 敏感 度 较 低 的 用 户 
去 参与 感知 ;对 某 一 感知 用 户 来 说 ， 他 对 不 同 的 位 置 有 不 同 的 
敏感 度 , 可 以 在 敏感 度 较 低 的 地 方 贡献 自己 的 感知 资源 .因此 ， 
既 可 以 保护 用 户 的 隐私 信息 ， 又 可 以 在 满足 用 户 个 性 化 的 隐私 
安全 需求 的 前 提 下 实现 感知 资源 的 最 大 化 利用 ， 提 供 高 精度 的 
感知 数据 。 

最 终 的 敏感 等 级 函数 jij 为 

f; = APL) + BD, + OA, , + wl, 

HH: a, fou 为 调节 各 个 指标 所 占 权 重 的 参数 。 
2.2.5 用 户 -位 置 矩 阵 

根据 用 户 对 位 置 的 敏感 值 建立 矩阵 M , 矩阵 的 列 代表 多 个 
位 置 ， 行 代表 多 个 用 户 ， 一 个 矩阵 可 以 表示 出 一 定 范 围 内 的 用 


的 误 判 。 可 以 考虑 这 样 一 种 情况 ， 某 一 感知 用 户 只 是 偶尔 在 某 
个 地 方 连续 停留 了 几 天 ， 如 旅游 或 出 差 ， 但 其 实 他 对 该 位 置 的 


户 与 位 置 之 间 的 敏感 情况 。 对 某 一 个 位 置 来 说 ， 可 以 选择 敏感 


等 级 较 低 的 h 个 用 户 去 完成 感知 任务 ， 对 某 一 个 用 户 来 说 ， 可 


敏感 度 并 不 高 ， 却 会 计算 出 他 对 该 位 置 的 访问 时 长 很 高 导致 误 
Fl, 或 者 他 经 常 无 规律 地 路 过 某 个 地 方 ， 会 计算 出 他 对 该 位 置 
的 访问 频率 很 高 ， 同 样 会 导致 误 判 。 像 家 、 工 作 地 点 等 这 些 比 
较 隐私 的 地 方 ， 用 户 通常 是 访问 时 长 、 访 问 频率 都 比较 高 ， 而 
且 会 很 有 规律 地 访问 ， 而 不 是 偶尔 造访 。 

要 计算 用 户 对 某 位 置 访问 的 规律 性 ， 先 算出 用 户 与 位 置 的 
平均 分 离 周 期 ， 即 他 间隔 多 久 会 离开 一 次 。 

平均 分 离 周 期 AVG; : 


以 选择 敏感 等 级 较 低 的 k 个 位 置 去 参与 感知 任务 ， 贡 献 感知 资 
源 。 和 矩阵 示例 如 式 (9〉 所 示 . 


L l, L “7 Ln 
u fa fi fis ie Fim 


M =u, Ía Ín Íz e tom (9) 


u, Ía Sir Sis Ce Jon 


1<i<n;1<j<m ) 表示 位 置 1 IA u 的 敏感 等 


其 中 : fh ( 
级 值 。 
用 户 媳 在 位 置 疙 对 应 的 敏感 阔 值 用 Bn 表示， 则 用 户 一 位 
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对 应 的 敏感 阔 值 矩阵 8 可 表示 为 


l l L SS ln 
u Ba Pa Bs ao Bm 


mt [Bn Po Ba Bn 00 
u, [Bu a Bas 0 Bam 
B; =1- f,305 B, <1 an 
2.3 ”实时 动态 的 隐私 分 级 算法 
在 上 述 各 敏感 参量 统计 计算 方法 的 基础 上 ， 给 出 实时 动态 
的 隐私 分 级 算法 , 以 满足 每 个 用 户 在 不 同位 置 的 隐私 安全 需求 ， 


保证 用 户 在 不 会 泄露 自己 的 隐私 信息 的 前 提 下 贡献 感知 数据 ; 
同时 也 在 动态 的 、 不 可 预测 攻击 手段 的 感知 环境 下 通过 实时 的 
敏感 度 计算 来 为 用 户 提供 动态 隐私 判定 方案 ， 以 保护 用 户 的 隐 
私 ， 提 高 感知 数据 的 精度 。 

实时 动态 的 隐私 分 级 算法 如 下 : 

引 根 据 感 知 设备 上 的 GPS 定位 确定 一 些 特殊 位 置 的 自然 属 
性 。 

b) 获 得 用 户 的 历史 轨迹 记录 ， 轨 迹 记 录 需 要 定期 更 新 为 最 
新 记录 ， 本 文 定 为 一 周 更 新 一 次 。 


9 根据 用 户 的 访问 记录 统计 出 在 这 个 周期 内 ， 


j 户 访问 每 


个 地 方 的 访问 时 长 、 访 问 频率 、 访 问 的 规律 性 这 些 衡 量 指标 ， 


以 表征 某 个 位 置 对 


某 个 用 户 所 具有 的 社会 属性 。 


dd) 综合 这 个 位 


的 自然 属性 和 社会 属性 ， 根 据 敏 感度 函数 


计算 出 用 户 对 该 位 


的 敏感 度 。 


e) 在 同一 个 位 置 ， 不 同 的 用 户 有 不 同 的 敏感 度 ， 将 


JP 


位 置 对 应 的 敏感 度 
用 户 一 位 置 敏感 闷 


值 存 入 用 户 一 位 置 窍 阵 ， 根 据 敏感 等 级 得 出 
BEHEREA 。 系 统 根据 用 户 数量 和 感知 任务 的 


需求 动态 设 定 隐私 


RRO (其 中 0<0<1，0=0 表示 无 隐私 保 


护 ，9 =1 表 示 最 大 隐私 保护 ) APSO, 则 此 用 户 在 该 位 置 可 


以 参与 感知 任务 而 
感 位 置 ， 不 能 参与 


不 会 泄露 隐私 ; 
感知 任务 。 


判定 为 用 


户 的 敏 


否则 该 位 


于 同一 个 位 


对 不 同 的 用 户 来 说 有 不 同 的 现实 意义 ， 


也 
， 可 以 让 敏感 度 低 的 用 户 参 与 感知 以 保证 感 


就 有 不 同 的 敏感 度 


知 任务 能 够 完成 ; 
户 可 以 在 一 些 


该 用 


同一 个 用 户 在 不 同 的 位 置 有 不 同 的 敏感 度 ， 
不 会 泄露 个 人 隐私 信息 的 位 置 贡献 自己 的 感 


知 资源 ， 既 保证 不 
大 化 利用 。 


会 泄露 自己 的 隐私 ， 又 能 实现 感知 资源 的 最 


3 ”实验 结果 与 分 析 


3.1 


实验 数据 的 预 处 理 


为 方便 
ERDE (Traj) ~ 


id, 


襄 留 点 (S) 和 位 


定义 以 下 术语 ， 包 括 GPS 记录 (P) 、GPS 
历史 (LocH) 。 


定义 3 GPS 记录 。GPS 记录 是 GPS 点 P={f, PB P) 


的 集合 .每 一 个 GPS 点 Pp EP AAA 


ME pT) 
定义 4 GPS 
GPS 点 连接 成 的 曲 


o 


轨迹 。GPS 轨迹 是 根据 其 时 间 序 列 将 这 些 
线 。 如 图 1 所 示 ， 如 果 两 个 连续 的 GPS 点 之 


REC pi-Lat ) ,经 度 ( pj.Lngt ) 
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间 的 时 间 间 隔 超过 了 一 个 确定 的 阔 值 AT ， 就 将 这 两 个 点 分 解 
在 两 条 不 同 的 GPS HL. Alt, Traj=p>p,>..>p, ， 其 中 
piEP, pii.T>pi.T, pi.T-piT< AT (1<i<n) 。 


A Stay Point S 


Latitude,Longitude,Time 
P,: Lat), Lngt), T; 
P,: Lat, Lngt,, Tz 


Pa: Lata, Lngt,, Th 


图 1 


GPS 记录 ，GPS 轨迹 和 一 个 停留 点 


定义 5 停留 点 。 停 留 点 代表 用 户 停 留 一 段 时 间 的 地 理 区 
域 ， 如 图 1 所 示 的 停留 点 8$。 在 本 文中 ， 每 个 停留 点 具有 特定 
的 语义 含义 ， 如 生活 或 工作 的 地 方 、 访 问 的 餐厅 和 旅游 的 景点 
等 。 停 留 点 的 提取 取决 于 两 个 参数 ， 即 时 间 阔 值 ( Tthreh ) 和 
BE PS RAL C Dthreh ) 。 与 图 1 中 所 示 的 点 {p3, pa, ps» pX 
单个 停留 点 5 可 以 认为 是 一 组 连续 的 GPS 点 P= {pm pmts.» 
PP 表示 的 虚拟 位 置 ， HP vm <i < 距离 
Dp,, > p< Dthreh , PaT- Py T| >Tthreh , SAAS HP. 
Dthreh ~ Tthreh 三 个 因素 决定 。$ 通常 涉及 到 多 个 GPS 点 的 空 
区 域 ， 因 此 需要 根据 这 些 GPS 点 计算 区 域 的 平均 坐标 ， 
S =(Lat, Lngt, arvT, levT) ， 即 


nN , 


x 


s.Lat = > pi.Lat/ |P | (12) 
s.Lngt =>" p,-Lrgt/|P| (13) 
s.arvT = p,,.T (14) 
slevT = p, T (15) 


其 中 : s.Lat 和 s.Lngt 分 别 表 示 集 合 P 的 平均 纬度 和 平均 经 度 ; 
|P| 表 示 集 合 P 中 元 素 的 个 数 ， s.arvT 和 slevT 分 别 表示 一 个 
用 户 在 停留 点 S 处 的 到 达 时 间 和 离开 时 间 。 
定义 6 位 置 历史 。 位 置 历史 是 实体 在 一 段 时 间 内 在 地 理 
空间 中 访问 的 位 置 的 记录 。 在 本 文中 ， 一 个 人 的 位 置 历史 
( LocH ) 表示 他 访问 停留 点 的 到 达 时 间 和 离开 时 间 相 应 的 序 
列 。 


An An An 
LocH = (s, >s, 一 >S,,) (16) 
At, = 8;,,-arvT — s,levT (17) 


其 中 : At, 表示 用 
3.2 ”实验 环境 

算法 采用 C++ 实现 ,在 Intel(R) Core(TM) i3-2350M 2.3 GHz 
处 理 器 、4 GB 内 存 的 Windows 7 平台 上 运行 。 仿 真 数 据 集 采用 
GeoLife 项 目 03 采 集 的 真实 数据 集 进行 实验 ， 该 数据 集中 的 数 
据点 由 不 同 采集 频率 的 GPS 记录 器 每 间隔 2~5 s 采集 一 次 ， 采 
集 时 间 从 2007 年 4 月 持续 至 2012 年 8 月 ， 数 据 集中 共 包含 
182 个 用 户 的 18 670 条 GPS 轨迹 记录 ， 共 包含 2 487 万 个 数据 


户 访问 不 同 停留 点 之 间 的 时 间 间 隔 。 
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点 ， 是 典型 的 时 空 数据 集 。 

停留 点 检测 : 在 这 个 实验 中 检测 停留 点 时 ， 设 置 参数 
Tthreh =20 minutes, Dthreh =200 meters。 若 一 个 用 户 在 200 m 
范围 内 的 区 域 停留 时 间 超 过 20 min， 就 将 这 个 区 域 判 定 为 一 个 
停留 点 ， 即 一 个 位 置 。 
为 了 测试 本 文 提 出 的 LPPA-PSRDU 算法 的 性 能 , 在 相同 条 
牛 下 ， 将 本 文 算法 与 固定 参数 的 静态 位 置 隐私 保护 方案 Avg 
Static、Max Static 和 自 适 应 隐私 保护 策略 的 Adaptive 算法 进行 
仿真 对 比 。 分 别 从 隐私 保护 水 平 、 数 据 的 完整 性 和 数据 的 精确 
性 等 方面 评估 本 文 所 提 算 法 的 有 效 性 。 各 种 算法 的 参数 设置 如 
表 1 所 示 。 


表 1 算法 参数 设置 


Avg Static Max Static Adative LPPA-PSRDU 
0 0.1-0.9 0.1-0.9 0.1-0.9 0.1-0.9 
A 1-10 1-10 Adaptive 
a 0.4 
B 0.2 
o 0.2 
H 0.2 


3.3 ”算法 性 能 度量 标准 
本 节 中 引入 隐私 保护 水 平 度量 标准 来 评估 所 提 算 法 的 有 效 
性 ， 通 过 度量 感知 数据 的 完整 性 和 感知 数据 的 精确 性 来 比较 此 
方案 与 之 前 方案 的 性 能 。 
3.3.1 隐私 保护 水 平 
参与 者 的 隐私 泄露 概率 Pcs 定义 为 位 置 隐私 泄露 的 数 
量 与 需要 保护 隐私 的 位 置 总 数量 的 比值 。 公 式 如 下 : 


— _ Disclosure 
Pema (18) 


其 中 : pseowwe 为 被 泄露 的 位 置 数量 ; Nosuowwe 为 需要 保护 隐私 的 
位 置 总 数量 。 隐 私 保 护 度 Protection _Level 定义 如 下 : 


Protection _ Level =1— Py owe (19) 


3.3.2 数据 的 完整 性 
影响 感知 数据 可 用 性 的 一 个 重要 因素 是 感知 数据 的 丢失 。 
于 隐私 问题 ， 用 户 收集 的 一 些 感知 数据 可 能 不 会 上 传 给 服务 

器 。 将 数据 的 完整 性 Data_Completeness 定义 为 


k 
> d,(data) 
Data _ Completeness = + (20) 


SD, (data) 
isl 


Jp: Dd (data) 为 参与 者 提交 给 服务 器 的 感知 数据 量 ; 


i 


È Di(data) 为 参与 者 感知 到 的 总 数据 
3.3.3 数据 的 精确 性 

于 隐私 保护 问题 ， 参 与 者 提交 不 精确 或 粗 粒 度 的 位 置信 
息 ， 会 导致 感知 数据 的 精度 下 降 ， 从 而 影响 数据 的 可 用 性 。 用 
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感知 数据 对 位 置 的 平均 绝对 误差 来 衡量 数据 的 精度 


(Data_Accuracy ) 。 


slant 
7 (21) 


i=l 


Data _ Accuracy = 


其 中 : ;为 提交 的 感知 数据 的 位 置 ; ;为 感知 数据 的 实际 位 置 ; 
N 为 位 置 总 数 。 
3.4 实验 结果 分 析 

算法 的 隐私 保护 水 平 如 图 2 所 示 。 随 着 隐私 阔 值 的 增 大 ， 
四 种 算法 的 隐私 保护 水 平均 呈 上 升 趋势 。 因 为 隐私 阔 值 设置 的 
越 高 ， 算 法 对 参与 者 的 位 置 隐私 保护 强度 越 大 。 但 在 相同 的 隐 
私 阔 值 条 件 下 ,动态 隐私 保护 机 制 Adaptive 和 LPPA-PSRDU 明 
显 比 静态 隐私 保护 机 制 Max Static 和 Avg Static 的 隐私 保护 水 
平 要 高 。 因 为 采用 静态 隐私 保护 策略 时 ， 默 认 所 有 参与 者 的 所 
有 位 置 均 需 要 同等 级 别 的 隐私 保护 ， 采 用 预定 义 的 固定 静态 参 
数 ， 导 致 有 些 位 置 隐私 保护 不 足 ， 有 些 位 置 又 保护 过 度 。 动 态 
隐私 保护 策略 可 以 由 系统 测算 出 实际 需要 的 隐私 保护 等 级 ， 动 
态 调 整 隐私 保护 参数 ， 尽 可 能 地 满足 多 个 位 置 不 同 的 隐私 保护 
需求 。 本 文 提出 的 LPPA-PSRDU 算法 比 Adaptive 算法 的 隐私 
保护 水 平 更 高 ， 因 为 尽管 Adaptive 算法 会 动态 测算 参与 者 的 隐 
私 等 级 ， 但 是 其 经 过 位 置 混淆 处 理 后， 依然 会 有 一 部 分 隐私 泄 
露 , 而 LPPA-PSRDU 机 制 根据 敏感 等 级 动态 的 选择 一 部 分 敏感 
度 低 的 用 户 参 与 感知 任务 ， 满 足 了 用 户 不 同 的 隐私 需求 。 
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æ— Max Static 
—e— Avg Static 
| | —— Adaptive 
—*— LPPA-PSRDU 


隐私 保护 水 平 
i 


T T T T 1 
0.0 0.2 0.4 0.6 0.8 1.0 


ALLTEL 
图 2 四 种 算法 的 隐私 保护 水 平 对 比 


感知 数据 的 完整 性 如 图 3 所 示 。 当 隐私 阔 值 较 低 时 ， 四 种 
算法 的 感知 数据 完整 性 都 较 高 ， 当 隐私 阔 值 较 高 时 ， 数 据 丢失 
都 较 多 。 因 为 隐私 闵 值 越 高 ， 需 要 隐藏 的 感知 数据 越 多 ， 以 实 
现 较 高 等 级 的 隐私 保护 。 总 体 上 ， 两 种 动态 的 隐私 保护 算法 在 
数据 完整 性 上 要 优 于 两 种 静态 的 隐私 保护 算法 。 因 为 静态 算法 
在 整个 感知 过 程 中 对 所 有 位 置 都 采用 相同 的 隐私 保护 等 级 ， 导 
致 参与 者 在 一 部 分 不 敏感 的 位 置 被 过 度 保护 ,浪费 了 感知 资源 。 
两 种 动态 隐私 保护 算法 中 , LPPA-PSRDU 比 Adaptive 的 数据 完 
整 性 稍 差 一 些 ， 主 要 是 因为 Adaptive 算法 在 隐私 闵 值 高 时 ， 采 
用 位 置 混淆 机 制 上 传 感 知 数据 , 而 LPPA-PSRDU 算法 只 允许 
部 分 符合 要 求 的 参与 者 贡献 感知 数据 ， 另 一 部 分 敏感 度 过 高 的 
参与 者 在 此 位 置 不 参与 感知 。 
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是 非常 有 意义 的 。 当 然 ， 该 方法 也 存在 一 些 不 足 ， 例 如 在 评估 
用 户 对 某 位 置 的 敏感 性 时 ， 需 要 较 大 的 计算 量 。 如 何 快 速 准确 
地 评估 出 用 户 的 敏感 性 ， 较 好 地 保护 用 户 需要 保护 的 隐私 ， 是 
未 来 的 工作 重点 。 
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